קמפיין תקיפה בסייבר נגד תשתיות קריטיות באזרבייג'ן

צוות המחקר טאלוס של חברת סיסקו גילה קמפיין חדש הכולל תוכנות זדוניות המבוסס על משפחה לא מוכרת בשם PoetRAT. "נכון לעכשיו אנו לא מאמינים כי ההתקפה הזו קשורה לשחקן איום ידוע. המחקר שלנו מראה כי התוכנה הזדונית הופצה באמצעות כתובות URL שמחקות תחומים ממשלתיים של אזרבייג'ן, ולכן אנו מאמינים כי היריבים במקרה זה רוצים לכוון לאזרחי אזרבייג'ן, כולל חברות פרטיות במגזר תשתיות קריטיות המפעילות מערכות SCADA, כמו מערכות טורבינת רוח.

המתקפה מתחילה במסמכי Microsoft Word מזוהמים הפורסים טרויאני מבוסס גישה מרחוק בPython. "המעניין ביותר הוא כלי המשמש לניטור הדיסק הקשיח להדלפת נתונים באופן אוטומטי. מלבד אלה, ישנם keyloggers, גנבי סיסמאות ממוקדי דפדפן, יישומי בקרת מצלמה, וגונבי סיסמאות גנריים אחרים. התוקף ביצע קמפיין דיוג באותן תשתיות. אתר הדיוג מחקה את הדואר האלקטרוני של תשתית הדואר האלקטרוני של ממשלת אזרבייג'ן", כותבים בפרסום.

עוד היבט מעניין הוא מסמך הוורד שטופל כמלכודת. המסמך נשלח לכאורה מהDRDO ההודי, המקביל של מפא"ת בארץ. המשמעות היא כי היעדים שהותקפו באזרבייג'ן היו צריכים להכיר מזה הDRDO. הארגון, דרך אגב, עובד גם עם לקוחות ממשלתיים בישראל. עם זאת, אין עדות שהקמפיין כוון למדינה אחרת פרט לאזרבייג'ן.